In letzter Zeit mehrten sich schlagzeilenträchtige Sicherheitsverletzungen, bei denen Passwörter die Wurzel des Übels waren und zu einem massiven finanziellen Schaden sowie Imageverlust der betroffenen Unternehmen geführt haben. Betrachtet man die Passworthygiene der Deutschen, ist es kaum verwunderlich, dass es immer wieder zur Kompromittierung kommt.
Wie eine aktuelle Studie zeigt, teilen 31 Prozent der deutschen Angestellten ihre beruflichen E-Mail-Passwörter und 21 Prozent würden nach einer Datenpanne sogar die gleichen Anmeldedaten wiederverwenden. 23 Prozent der Befragten schreiben Passwörter immer noch auf Zettel, um den Überblick zu behalten.
Der Weg ist das Ziel?
Diese Zahlen lassen aufhorchen und sind mit der Grund dafür, dass sich derzeit viele Unternehmen mit den Vorteilen einer sicheren passwortlosen Zukunft auseinandersetzen. Denn sichere Logins ohne Passwort bringen Unternehmen nicht nur Kosteneinsparungen und eine reibungslosere Benutzeranmeldung. Sie bieten auch die Sicherheit, die notwendig ist, wenn Millionen von Mitarbeiter vielleicht auch nach dem Ende der Pandemie weiter vom Homeoffice aus arbeiten.
Das eine oder andere Unternehmen hat seine passwortlose Strategie möglicherweise schon geplant und kann nun mit der Implementierung beginnen. Viele Unternehmen wissen, was dabei gilt: Passwortfrei zu werden ist eher eine Reise als ein Ziel. Was Firmen aber in jedem Fall tun können ist dafür zu sorgen, dass sie in keine tiefen Schlaglöcher fahren, damit diese Reise möglichst reibungslos verläuft.
Grundsätzlich gestaltet sich der Weg zur Passwortfreiheit für jedes Unternehmen anders. So könnten Unternehmen einen passwortlosen Smartcard-Ansatz implementieren, einen passwortlosen FIDO2/WebAuthn-Ansatz oder auch eine hybride Herangehensweise, bei der beide Ansätze kombiniert werden, um unterschiedliche Geschäftsanforderungen zu erfüllen. Doch gleich, welchen Weg Betriebe einschlagen: Es gibt einige häufige Fallstricke, die vermieden können, wenn diese bekannt sind.
Fallstricke, die Betriebe bei der Umsetzung ihrer passwortlosen Strategie vermeiden sollten:
-
Das „Ziel in Sicht“-Syndrom. Wenn es um Implementierungen geht, denken Sicherheitsfachleute vielleicht in traditionellen Bahnen – in etwa: „Wir haben ein Produkt, wir machen einen Plan, wir setzen ihn um, und danach bügeln wir die Fehler aus“. Eine passwortlose Lösung kann jedoch mehrere Produkte umfassen, die zu verschiedenen Zeiten für verschiedene Benutzerebenen installiert werden. Die Reise zur Passwortfreiheit geht nicht immer schnell vonstatten. Auf einem Teil des Weges tun sich vielleicht Hindernisse auf. Unternehmen können also nicht unbedingt die gesamte Strecke überblicken, aber sie können auf alles vorbereitet sein, was hinter dem möglichen Hindernis auf sie wartet. Konkret sollten Firmen hier mit den wichtigsten und kritischsten Anwendungsfällen und Benutzergruppen anfangen und die passwortlose Implementierung dann nach und nach ausbauen.
-
Isoliert planen. Passwortlosigkeit ist nicht allein eine IT-Implementierung. Da sie die Unternehmenskultur und die Unternehmensprozesse erheblich verändern kann, sollten auch alle Ecken und Winkel des Betriebs einbezogen werden. Wenn der Strategieplan eng gefasst ist oder nur von einer einzigen Abteilung aufgestellt wird, steigt die Wahrscheinlichkeit, dass er scheitert, sobald er den Benutzern, der Personalabteilung und der Unternehmensleitung kommuniziert werden muss. Der Schlüssel zum Erfolg liegt in einem ganzheitlichen Ansatz und darin, alle wichtigen Stakeholder von Anfang an einzubeziehen, um maximale Benutzerakzeptanz zu erreichen. Genau dies ist es, was das Sicherheitsniveau des gesamten Unternehmens verbessert.
-
Überspringen der Pilotphase, wenn die Zeit drängt. Manchmal ist ein Projekt wirklich dringlich, vor allem, wenn damit auf eine Sicherheitsverletzung oder einen anderen Notfall reagiert wird. Trotzdem ist davon abzuraten, die Proof-of-Concept- und die Pilotphase des Projekts zu überspringen, da diese wichtige Erkenntnisse darüber liefern können, ob Unternehmen auf dem richtigen Weg sind. Es bietet sich an, ein einziges Pilotprojekt zu planen oder mehrere Pilotprojekte für verschiedene Benutzergruppen durchführen, um die Bereitschaft zu ermitteln, bevor die Lösung für alle Benutzer eingeführt wird.
In der Regel können Betriebe während des Proof-of-Concept einige Schritte zur Vorbereitung der Pilotphase unternehmen:- Es sollte in der frühesten Phase geprüft werden, ob die geplante passwortlose Implementierung bei allen wichtigen Systemen, Anwendungsfällen und Nutzern erwartungsgemäß funktioniert.
- Die Einrichtung einer Testumgebung ist sinnvoll, die die End-to-End-Konnektivität zwischen den bestehenden Systemen und der Authentifizierungstechnologie für die wichtigsten Benutzer/Benutzergruppen demonstriert.
- Zuletzt sollten Firmen überprüfen, ob ihre definierten Erfolgskriterien erfüllt werden können.
-
Das Gespräch mit den Nutzern außer Acht lassen. Wenn technische Teams ein Projekt leiten, werden oft die Kommunikation mit den Nutzern und die Nutzerschulungen vergessen. Das Kommunikations-/Schulungsteam kann hier helfen: Es kann Live- oder virtuelle Veranstaltungen planen, positive Erwartungen aufbauen und die neuen Lösungen und Prozesse besser verständlich machen.
-
Der Verzicht auf professionelle Dienstleister. Hier kommt das sogenannte „Wähle zwei“-Prinzip zu tragen. Schnell, günstig und gut geht in der Praxis nicht – Firmen können nur zwei dieser Dimensionen wählen. Im Idealfall möchten sie aber natürlich alle drei haben (wenigstens annähernd), und wenn Unternehmen sich auf dem Weg zu einem passwortfreien System den richtigen professionellen Dienstleister suchen, können sie diesem Ideal tatsächlich sehr nahekommen. Das gilt insbesondere, wenn sie unter Zeitdruck stehen – denn ein externer Anbieter mit entsprechendem Know-how kann die Reise zur Passwortlosigkeit beschleunigen.
Fazit
Aufgrund der Tatsache, dass der falsche Umgang mit Passwörtern oftmals ein enormes Sicherheitsrisiko darstellt, suchen immer mehr Betriebe nach Alternativen und möchten den Passwortlosen Log-In zum Standard machen. Wichtig ist hier vor allem zu wissen, dass dieser Wechsel nicht über Nacht geschehen kann und sollte –außerdem ist es wichtig, einen ganzheitlichen, fundierten Weg zu wählen, denn nur dann bedeutet der Umstieg wirklich ein Maximum an IT-Sicherheit. Wenn Firmen sich einiger weit verbreiteter Fallstricke beim Wechsel bewusst sind und diese bewusst vermeiden, befinden sie sich auf dem richtigen Weg in eine Zukunft ohne Passwörter.